Un SIEM requiere que los eventos lleguen hasta él. Eso significa configurar agentes en endpoints, exportar logs de firewalls y sistemas cloud, configurar remote syslog en servidores. La configuración es 70% del trabajo; el software es el otro 30%.
Qué es un SIEM
Un SIEM (Security Information and Event Management) es una plataforma que centraliza, recopila y analiza logs y eventos de seguridad de toda la infraestructura de TI: firewalls, routers, servidores, aplicaciones, endpoints, sistemas cloud. Correlaciona esos eventos para detectar patrones anómalos, intentos de ataque, brechas de datos y amenazas que de otro modo pasarían desapercibidas en miles de eventos diarios.
Por qué importa
Una organización mediana genera millones de eventos de seguridad cada día. Es imposible revisar manualmente cada log, cada alerta, cada anomalía. Sin SIEM, los ataques sofisticados pasan desapercibidos hasta que es demasiado tarde. Un SIEM bien configurado no solo centraliza ese caos, sino que lo transforma en inteligencia accionable: detecta patrones que indican movimiento lateral, identifica tentativas de escalada de privilegios a escala, correlaciona eventos de múltiples fuentes para construir la narrativa de un ataque. Para un CISO, un SIEM es la columna vertebral de la detección de amenazas. Sin él, la visibilidad sobre qué está pasando en tu red es prácticamente nula.
Puntos clave
Las alertas por sí solas son inútiles si son 1000 por día. Un buen SIEM debe reducir el ruido (falsos positivos) mediante reglas bien tuneadas, listas blancas, baselines de comportamiento normal y machine learning. El objetivo es tener alertas accionables, no alarmas constantes.
La retención de datos es crítica pero costosa. Guardar 6 meses de logs en caliente, 2 años en frío permite investigación forense, análisis de tendencias y cumplimiento regulatorio. Guardar logs por 5 años sale muy caro.
Un SIEM no es una solución única. Se complementa con EDR (detección en endpoints), IDS/IPS (detección en red), WAF (protección de aplicaciones web) e inteligencia de amenazas externa.
Ejemplo: detección de movimiento lateral mediante correlación SIEM
Un usuario administrativo típicamente accede a 2-3 servidores al día. El SIEM aprende ese baseline. De repente, en 2 horas accede a 47 servidores desde un endpoint corporativo usando su cuenta. El SIEM correlaciona: fallos de acceso anteriores a esos servidores, intentos SSH a puertos no estándar, creación de tareas programadas con comportamiento anómalo. Levanta una alerta de nivel alto. El equipo de seguridad revisa, ve que el usuario estaba fuera de vacaciones hace 2 horas, sospecha robo de credenciales, invalida la sesión, obliga reset de contraseña. Al investigar después con forense, descubren que una aplicación web vulnerable fue explotada para robar el hash de contraseña del administrador. Sin SIEM eso habría continuado 200 días antes de ser detectado.
Errores habituales
- Implementar un SIEM y dejar que funcione en piloto automático. Requiere tuning constante de reglas, revisión de falsos positivos, actualización de inteligencia de amenazas y validación de que está detectando lo que debería.
- Guardar todos los logs en una solución cara cuando deberías segregar. Logs de cambios en firewall o acceso administrativo requieren retención larga. Logs de usuario normal pueden ser más cortos. Optimizar reduce costos sin sacrificar seguridad.
- Confundir SIEM con pentesting. Un SIEM detecta amenazas conocidas basadas en comportamiento anómalo. No descubre vulnerabilidades activas ni examina código. Necesitas pentesting complementario.
- Implementar SIEM sin dar formación al equipo. Si los analistas no saben cómo interpretar las alertas o validar si son reales, el SIEM genera ruido que se ignora.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Qué es la diferencia entre SIEM y SIM?
SIM (Security Information Management) recopila y centraliza logs pero no hace análisis correlacional. SIEM añade análisis en tiempo real, detección de patrones anómalos y alertas automáticas. Hoy en día todos dicen SIEM aunque muchos son realmente SIM mejorado.
¿Cuáles son los SIEM más usados en España?
Splunk, IBM QRadar, Microsoft Sentinel, ArcSight y Elasticsearch/Elastic Stack son los principales. La elección depende de presupuesto, complejidad de infraestructura, requisitos regulatorios y capacidad interna de mantenimiento.
¿Cuánto cuesta implementar un SIEM?
Varía enormemente. Un SIEM pequeño en cloud puede costar 1000-5000€/mes. Implementaciones on-premise con análisis manual salen 50000-200000€ anuales. Añade costes de integración, formación y consultores especializados.